【漏洞通告】n8n Merge 节点 SQL 模式远程代码执行漏洞(CVE-2026-33660)
发布时间 2026-03-27一、漏洞概述
漏洞名称 | n8n Merge 节点 SQL 模式远程代码执行漏洞 | ||
CVE ID | CVE-2026-33660 | ||
漏洞类型 | RCE | 发现时间 | 2026-3-27 |
漏洞评分 | 9.4 | 漏洞等级 | 严重 |
攻击向量 | 网络 | 所需权限 | 低 |
利用难度 | 低 | 用户交互 | 不需要 |
PoC/EXP | 未公开 | 在野利用 | 未发现 |
n8n是一个开源的工作流自动化工具,旨在帮助用户通过图形化界面设计和自动化各种任务。它支持多种集成方式,可以与众多第三方服务和应用进行连接,例如数据库、API、云服务等。n8n提供丰富的节点和触发器,用户可以通过配置工作流来实现数据处理、任务调度、系统集成等功能。其可扩展性强,支持自定义节点,适用于开发者和企业用户,帮助提高工作效率和自动化水平。
2026年3月27日,启明星辰安全应急响应中心(VSRC)监测到n8n Merge 节点 SQL 模式远程代码执行漏洞。该漏洞存在于Merge节点的Combine by SQL功能中,由于底层AlaSQL沙箱对SQL语句限制不充分,导致攻击者可构造恶意SQL语句突破沙箱限制。具备工作流创建或修改权限的认证用户可通过该漏洞读取服务器本地敏感文件,甚至执行任意代码,从而完全控制n8n实例。该漏洞可能导致敏感数据泄露、系统被入侵及业务中断,严重情况下可能引发数据安全与合规风险,如违反GDPR或数据保护相关法规,对企业和用户安全造成严重影响。
二、影响范围
n8n < 1.123.27
三、安全措施
3.1 升级版本
n8n >= 1.123.27
下载链接:https://github.com/n8n-io/n8n/releases/
3.2 临时措施
暂无。
京公网安备11010802024551号